近年、事業の多様化や多角化にともない、新たに活動拠点を海外に設置したり、合併・買収(M&A)を通じた海外企業統合によって事業連携や事業拡大を図ったりするなど、グローバル展開による事業規模拡大を加速化する企業が増えつつあります。
また、競争力強化や業務効率向上のためのデジタルトランスフォーメーション(DX)戦略の一環として、海外拠点を含めた事業環境の新たな改革やクラウド環境の積極的な活用が行われるようになってきました。このように、日本企業のグローバル展開は当たり前のように推進されている状況にあります。
こうした現状を踏まえ、全4回の連載で海外拠点におけるセキュリティについて、その背景からM&A企業統合時のセキュリティ強化まで、筆者の今までの知識と経験を生かしつつ、そのノウハウを解説させていただきます。読者の皆さまにとって、これからの事業展開に有用となるような内容となれば幸いに存じます。
今回、まずは、日本国内におけるセキュリティ状況と海外におけるセキュリティ動向などを含めて、グローバル展開している日本企業が抱えているさまざまなセキュリティ上の課題とその背景について説明させていただきます。
企業にとって、事業の幅を広げたり海外市場へ進出したりするのは非常に喜ばしいことです。しかし、事業展開や拡大を進める上で直接的に関連しないように見えても、必ずやらなければならないことがあることを理解しておかなければなりません。
海外事情の移り変わりや海外市場におけるセキュリティ動向にも遅れることなく追従していかなければなりません。また、事業の最大の妨げとなるサイバー攻撃への対策も講じていかなくてはなりません。近年も国内において大規模なランサムウェアや分散型サービス拒否(DDoS)攻撃により、さまざまな業種における事業への影響が各種メディアで報道されています。特に、グループ企業や生産製造に関するサプライチェーンであるパートナー企業とのつながりで事業を推進している企業にとっては重大なセキュリティインシデントであり、多大な事業影響を受けることになりました。
これまで、日本企業はさまざまなセキュリティ対策を講じてきました。企業の事業内容によっては社会インフラに関連する重要情報や、知的財産に関連する機密情報などを扱うこともあり、サイバー攻撃に対するセキュリティ対応は重要な経営課題となってきました。企業の経営層もこれを理解し、中長期戦略として経営方針の一部として重視し、人的・組織的なマネジメント対策、セキュリティソリューション導入による技術的対策など、特に本社機構のある国内拠点を中心に各種セキュリティを強化してきました。また、企業として、コンプライアンス順守の面から、個人情報保護法などの法律にも当然ながら対応してきました。
一方、グローバルにおけるセキュリティ動向はどのように変化してきているでしょうか。例えば、個人情報保護の観点を見てみると、各国でさまざまな法令の制定、施行が進められている状況であり、当該国においては順守する必要があります。また、さらに欧州連合(EU)では一般データ保護規則(GDPR)により、国内のみならず国境を越えた場合の個人情報についても厳しく保護されています。
また、最近では情報セキュリティのみならず、今やインターネットに接続することが可能となってきている各種IoT製品についても、国内だけではなく、グローバルにおける大きな枠組みによる強化(法律や標準化など)が検討されている状況です。EUのサイバーレジリエンス法への対応やサプライチェーンセキュリティへの対応については、多くの海外拠点を持つ日本企業にとって確実に対応しなくてはならないセキュリティへの取り組みであり、急務であると言っても過言ではないでしょう。
事実、既にグローバル展開されている企業からは、海外拠点のセキュリティに対し、以下のような意見が多くあるようです。
- 海外拠点のセキュリティ状況が明確に把握できておらず、現地任せになっている:海外拠点におけるセキュリティの現状を可視化、一元管理できるような仕組みがないため、ITやセキュリティ関連を現地任せにしており、どのような状況であるか把握できていない状況となっている
- 適切なアセスメントを実施するための知見がない:海外拠点を対象としたアセスメントプロセスや、セキュリティ状況を調査するためのヒアリングシートがなく、どのように現状調査・確認を進めてよいかが分からない
- 日本国内に比べ、海外拠点でのセキュリティインシデントの発生率が高い:セキュリティガバナンスが弱く、また予算的にも十分なセキュリティ対策ができていない可能性がある
- 小規模M&Aにて統合した企業のため、ITやセキュリティ管理部署が存在しない:IT管理者が不在であったとしても、コミュニケーション基盤の整備や情報セキュリティ強化施策、インシデントレスポンスまで実施できるように日本国内からコントロールできるようなスタンダードかつシンプルな仕組みをつくりたい
海外拠点において確実にセキュリティを強化していくには、セキュリティの強化を目的とした段階的な構築プロセスを確立し、そのプロセスの中で海外拠点のセキュリティ状況を把握し、脆弱(ぜいじゃく)な部分を低減させていくことが必要です。また、併せて、セキュリティレベルの達成イメージ、すなわち、ゴールを設定することも重要なポイントとなります。
これは、M&Aにて統合された企業に対しても同様のことがいえます。どのようなプロセスで自社のセキュリティ文化に統合していくか、どのようにすれば自社同様のセキュリティを構築できるかについてそのプロセスを丁寧に説明し、M&A企業側のモチベーションを維持しつつ、そして確実に実行していかなければなりません。
次回から、海外拠点のセキュリティを強化していくプロセス策定についての考え方やセキュリティの現状を知るための方法について、詳しく掘り下げて説明します。また、事業拡大するためにM&Aにて海外企業を統合した場合において、どのようにセキュリティ強化施策を図っていくべきかの問いかけに対する解決策についても順次説明していきます。
- 福家 康平
- 株式会社日立ソリューションズ
- 2014年より脆弱性診断の経験を経て、サイバー/情報セキュリティ分野におけるセキュリティコンサルティング業務を担当。セキュリティ規程の整備、リスクアセスメント、認証取得支援などに従事。近年は、グローバルセキュリティガバナンスを中心に、世界各国の拠点に対するリスクアセスメントや、M&A時のセキュリティチェック、海外拠点とのリレーション強化などを支援。保有資格:CISSP、RISS他。
